【正文】 ? 對信息技術(shù)一般性控制的審計應(yīng)考慮以下控制活動： ? 信息安全管理 ? 系統(tǒng)變更管理 ? 系統(tǒng)開發(fā)和采購管理 ? 系統(tǒng)運行管理 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 信息技術(shù)一般性控制 ——信息安全管理 審計人員應(yīng)關(guān)注 ? 組織的信息安全管理政策 ? 物理訪問及針對網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的身份認(rèn)證和邏輯訪問管理機制 ? 系統(tǒng)設(shè)置的職責(zé)分離控制 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 信息技術(shù)一般性控制 ——系統(tǒng)變更管理 審計人員應(yīng)關(guān)注 ? 組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批， ? 變更測試， ? 變更移植到生產(chǎn)環(huán)境的流程控制等。 審計人員應(yīng)考慮以下控制要素中與信息技術(shù)相關(guān)的內(nèi)容： ? 控制環(huán)境 ? 風(fēng)險評估 ? 信息與溝通 ? 監(jiān)控 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 組織層面信息技術(shù)控制 ——控制環(huán)境 審計人員應(yīng)關(guān)注 ? 該組織的信息技術(shù)戰(zhàn)略規(guī)劃對業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度 ? 信息技術(shù)治理制度體系的建設(shè) ? 信息技術(shù)部門的組織結(jié)構(gòu)和關(guān)系 ? 信息技術(shù)治理相關(guān)職權(quán)與責(zé)任的分配 ? 信息技術(shù)人力資源管理 ? 對用戶的信息技術(shù)教育和培訓(xùn) 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 組織層面信息技術(shù)控制 ——風(fēng)險評估 審計人員應(yīng)關(guān)注 ? 組織的風(fēng)險評估的總體架構(gòu)中信息技術(shù)風(fēng)險管理的框架 ? 流程和執(zhí)行情況 ? 信息資產(chǎn)的分類以 ? 信息資產(chǎn)所有者的職責(zé) 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 組織層面信息技術(shù)控制 ——信息與溝通 審計人員應(yīng)關(guān)注 ? 組織的信息系統(tǒng)架構(gòu)及其對財務(wù) ? 業(yè)務(wù)流程的支持度 ? 管理層及治理層的信息溝通模式 ? 信息技術(shù)政策 /信息安全制度的傳達(dá)與溝通 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 組織層面信息技術(shù)控制 ——監(jiān)控 審計人員應(yīng)關(guān)注 ? 組織的監(jiān)控管理報告系統(tǒng) ? 監(jiān)控反饋與跟蹤處理程序、 ? 組織對信息技術(shù)內(nèi)部控制的自我評估機制等方面。 開展信息系統(tǒng)審計 信息系統(tǒng)審計內(nèi)容 ? 信息系統(tǒng)審計通常包括 ? 審計組織層面信息技術(shù)控制 ? 審計信息技術(shù)一般性控制 ? 審計業(yè)務(wù)流程層面相關(guān)應(yīng)用控制 ? 信息技術(shù)內(nèi)部控制的各個層面都包括 ? 人工控制 ? 自動控制 ? 人工自動相結(jié)合的控制 審計人員應(yīng)根據(jù)不同的控制形式采取恰當(dāng)?shù)膶徲嫵绦颉? 開展信息系統(tǒng)審計 風(fēng)險評估 業(yè)務(wù)流程層面： 業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險受行業(yè)背景、業(yè)務(wù)流程的復(fù)雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。 ? 信息技術(shù)風(fēng)險 組織在信息處理和信息技術(shù)運用過程中產(chǎn)生的、可能影響組織目標(biāo)實現(xiàn)的各種不確定因素。 ? 作為綜合性內(nèi)部審計項目的組成部分實施 為了確保審計結(jié)論的可信，信息系統(tǒng)審計人員參與到其他審計項目中完成對被審計業(yè)務(wù)高度依賴的信息系統(tǒng)的評價，綜合得出審計結(jié)論 開展信息系統(tǒng)審計 過程階段： 信息系統(tǒng)審計只是一種新的審計業(yè)務(wù)類型，開展過程與其他審計業(yè)務(wù)基本一致 信息系統(tǒng)審計劃分為以下階段： ?審計計劃階段 ?審計實施階段 ?審計報告階段 ?后續(xù)工作階段。 ? 對于不熟悉的領(lǐng)域可以利用外部專家的服務(wù)。 ? 審計項目負(fù)責(zé)人員具備信息系統(tǒng)審計相關(guān)工作經(jīng)驗，或相關(guān)行業(yè)的從業(yè)經(jīng)驗。 開展信息系統(tǒng)審計的條件 勝任能力 從事信息系統(tǒng)審計人員的專業(yè)勝任能力是指在信息系統(tǒng)審計領(lǐng)域 ,勝任管理層與其他利益方的委托、履行其信息系統(tǒng)審計職能所應(yīng)擁有的相關(guān)知識、技能和素質(zhì)。 ? 組織的信息技術(shù)管理目標(biāo)： ? 保證組織的信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo)， ? 提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性， ? 提高信息系統(tǒng)運行的效果與效率， ? 保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關(guān)要求。 ? 審計要全面關(guān)注企業(yè)運營的風(fēng)險，信息系統(tǒng)已經(jīng)成為企業(yè)的主要風(fēng)險來源之一。 ? 手工控制轉(zhuǎn)為系統(tǒng)控制，缺少對系統(tǒng)控制的檢查就無法評價內(nèi)部控制的有效性。 ? 數(shù)據(jù)信息成為企業(yè)最重要的一種資產(chǎn)，對信息資產(chǎn)的保護成為一項重要的工作。 認(rèn)證 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息系統(tǒng)技術(shù)認(rèn)證 – 網(wǎng)絡(luò)及其他 ? 華為認(rèn)證 ? 華為認(rèn)證網(wǎng)絡(luò)工程師 Huawei Certified Network Engineer（ HCNE） ? 華為認(rèn)證高級網(wǎng)絡(luò)工程師 Huawei Certified Senior Network Engineer（ HCSE） ? Checkpoint ? Check point認(rèn)證安全管理員 Check Point Certified Security Administrator （ CCSA） ? Check point 認(rèn)證安全工程師 Check Point Certified Security Engineer（ CCSE） 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 提綱 ? 背景介紹 ? 信息系統(tǒng)審計相關(guān)概念 ? 信息系統(tǒng)審計的發(fā)展情況 ? 開展信息系統(tǒng)審計的必然性 ? 開展信息系統(tǒng)審計的條件 ? 開展信息系統(tǒng)審計的方法 ? ERP審計介紹 ? 信息系統(tǒng)審計的工作思路 開展信息系統(tǒng)審計的必要性 ? 信息系統(tǒng)對業(yè)務(wù)的影響程度越來越大，信息系統(tǒng)的穩(wěn)定性直接關(guān)系到企業(yè)的連續(xù)運營 ? 手工控制轉(zhuǎn)為系統(tǒng)控制，系統(tǒng)控制的效果直接影響到內(nèi)部控制的有效性 ? 分析決策基于系統(tǒng)生成的數(shù)據(jù)，數(shù)據(jù)的準(zhǔn)確性直接影響到分析決策的科學(xué)性、合理性。 ? 截止到 2022年底，全球有 70萬人擁有 CompTIA A+ 認(rèn)證。該認(rèn)證是一項廠商中立的國際性認(rèn)證，并得到了主要軟硬件廠商、分銷商和經(jīng)銷商的認(rèn)可。 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息系統(tǒng)管理認(rèn)證 – 個人認(rèn)證 ? 信息安全管理體系主任審核員（ ISO 27001 Principal/Lead Auditor） ? IT服務(wù)管理體系國際標(biāo)準(zhǔn)主任審核員（ ISO/IEC 20220 LA） ? ITIL 認(rèn)證： ITIL Foundation、 ITIL Practitioner、 ITIL Manager ? 項目管理專業(yè)資質(zhì)認(rèn)證（ PMP， Project Management Professional） ? 國際項目管理專業(yè)資質(zhì)認(rèn)證（ IPMP， International Project Management Professional） ? 中國項目管理師 （ CPMP， China Project Management Professional） 中國 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息 安全 系統(tǒng)管理認(rèn)證 – 個人認(rèn)證 ? CISA(信息系統(tǒng)審計師 ) ISACA ? CISM（注冊信息系統(tǒng)經(jīng)理） ISACA ? CISSP（信息系統(tǒng)安全認(rèn)證專業(yè)人員） ? CompTIA Security+ ? 認(rèn)證 ? SANS GSEC（ GIAC Security Essentials Certification） ? CISP（ 注冊信息安全專業(yè)人員） 中國 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息系統(tǒng)管理認(rèn)證 – 個人認(rèn)證 ? 信息系統(tǒng)高校相關(guān)專業(yè) – 國外 ? Open University Information Security Management: ? Royal Holloway, University of London MSc in Information Security: Royal Holloway, University of London PhD in Security: ? Westminster University MSc in IT Security: ? Loughborough University MSc in Security Management: ? Geia Institute of Technology MSc in Information Security: ? University of California– Berkeley MSc in Information Security: ? Massachusetts Institute of Technology (MIT) MSc in Information Security: ? Carnegie Mellon University MSc in Information Security: ? Stanford University MSc in Information Security: 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息系統(tǒng)管理認(rèn)證 – 個人認(rèn)證 ? 信息系統(tǒng)高校相關(guān)專業(yè) 國內(nèi) ? 西安電子科技大學(xué) 密碼學(xué) 及 信息安全 碩士 : ? 武漢大學(xué) 信息安全 碩士 : ? 上海交通大學(xué) 信息安全 碩士 : ? 北京郵電大學(xué) 信息安全 碩士 : ? 哈爾濱工業(yè)大學(xué) – 信息安全 碩士 : ? 山東大學(xué) 密碼學(xué) 碩士 : ? 東北大學(xué) 信息安全 碩士 : 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息系統(tǒng)技術(shù)認(rèn)證 – 硬件 ? CompTIA A+174。 ? SSECMM 和 ISO/IEC 27000系列都提出了一系列最佳實踐，但ISO/IEC 27000系列是一個認(rèn)證標(biāo)準(zhǔn)（ ISO/IEC 27001），提出了一個可供認(rèn)證的 ISMS 體系，組織應(yīng)該將其作為目標(biāo)，通過選擇適當(dāng)?shù)目刂拼胧?ISO/IEC 27002/3）去實現(xiàn)。 ? 3個相關(guān)組織過程：工程過程、風(fēng)險過程 、保證過程。 ? SSECMM (System Security Engineering Capability Maturity Model) 模型，是由美國國家安全局 (NSA) 于 1996年在 CMM模型基礎(chǔ)上開發(fā)的，在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是專門用于系統(tǒng)安全工程的能力成熟度模型。 CMM包括五個成熟等級，開發(fā)的能力越強，開發(fā)組織的成熟度越高，等級越高。 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? SSECMM系列 ? CMM即軟件開發(fā)能力的成熟度模型，是軟件工程協(xié)會 SEI (software engineering institution) 在卡內(nèi)基 .梅隆大學(xué)開發(fā)完成的對一個組織軟件開發(fā)能力進行評價的標(biāo)準(zhǔn)。 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? NIST SP800系列 ? 美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會（ National Institute of Standards and Technology， NIST）發(fā)布的 Special Publication 800 文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南，其中有多篇是有關(guān)信息安全管理的。 ? 與 ISO/IEC 27000系列相比， CC 的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上，ISO/IEC 27000系列 在闡述信息安全管理要求時，并沒有強調(diào)技術(shù)細(xì)節(jié)。 ? 安全功能要求。目前 CC標(biāo)準(zhǔn)的最新版本是 ； 1999年成為國際標(biāo)準(zhǔn)ISO/IEC15408:1999；我國在 2022年等同采用為國家標(biāo)準(zhǔn) GB/T 18336－ 2022。 ISMS實施者可以將 ISO/IEC 27000系列作為 ISO20220 在信息安全方面的補充，同時引入 ISO20220 流程的方法，以此加強信息安全管理的實施能力。 ISO/IEC 202201:2022信息技術(shù)服務(wù)管理 服務(wù)管理規(guī)范、 ISO/IEC 202202:2022信息技術(shù)服務(wù)管理 服務(wù)管理實用規(guī)范。這成為 IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。其中包括：服務(wù)臺 、事件管理 、問題管理 、配置管理 、變更管理 、版本管理 。其中包括： 服務(wù)水平管理、 IT 服務(wù)財務(wù)管理、能力管理 、 IT 服務(wù)持續(xù)性管理、可用性管理。 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? ISO20220 （ ITIL和 BS15000） ? ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫（ Information Technology Infrastructure Library），是英國商務(wù)部（ OGC）于 1980年開發(fā)的一套 IT業(yè)界的服務(wù)管理標(biāo)準(zhǔn)庫，是截至目前為止世界范圍內(nèi) IT服務(wù)管理的最佳實踐。 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? COBIT ? COBIT的作用 COSO通常作為企業(yè)的內(nèi)部控制框架， COBIT則是通用的 IT控制框架，其產(chǎn)品分為三個層次，以支持： ? 執(zhí)行經(jīng)理及董事會； ? 業(yè)務(wù)經(jīng)理和 IT經(jīng)理； ? 從事治理、保障、控制和安全的專業(yè)人士。 ? 為企業(yè)的 IT治理提治理框架，確保企業(yè)可以充分利用信息，進而實現(xiàn)收益最大化、